Sicherheitslücke in FFmpeg-Bibliothek

Ein Fehler bei der Typumwandlung von Videodateien lässt sich zum Einschleusen und Ausführen von Code auf einem betroffenen System ausnutzen. Ein Patch im Repository behebt das Problem.

17

29.01.2009, 11:27 Uhr

Lesezeit: 1 Min.

Security

Von

Daniel Bachfeld

Ein Fehler in FFmpeg, einer freien Tool- und Bibliothekssammlung zum Verarbeiten digitaler Video- und Audiodaten, soll das Einschleusen und Ausführen von Code auf einem betroffenen System ermöglichen. Unter anderem nutzen die populären Mediaplayer VLC, MPlayer und xine die Sammlung.

Ursache des Problems ist nach Angaben des Entdeckers Tobias Klein ein Fehler bei der Typumwandlung während der Verarbeitung von Dateien im proprietären 4X-Movie-Format (4xm). Für einen erfolgreichen Angriff muss das Opfer aber eine manipulierte Datei selbst öffnen.

Betroffen sind die FFmpeg-Versionen im Subversion-Repository vor Revision 16846. Ab dieser Version ist die Lücke in libavformat/4xm.c geschlossen. Anwender können die Version aus dem Repository auschecken und neu übersetzen oder auf fertige Pakete ihrer Distributoren warten.

Siehe dazu auch:

FFmpeg Type Conversion Vulnerability, Bericht von Tobias Klein

(dab)

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

Sicherheitslücke in FFmpeg-Bibliothek

Spiele

1 Monat gratis lesen.Jetzt 1 Monat gratis lesen.

Das digitale Abo für IT und Technik.